|
最让人头疼的就是网站安全问题,辛辛苦苦无数个日夜,一会儿就被黑客攻破,仁慈点的,放点恶意代码,打点广告,留点后门,犀利的直接毁掉你的数据库,各种胸,各种碎、、、 所以网站安全工作一定要做好,门软很悲催,被黑了不止一两次了,不过每次都是小打小闹的,网站加载速度变慢而已。但是也不能容忍,俺可以给了白花花的银子,怎么能你说黑就黑,安全重于泰山,防范是首要,扯远了,进入主题。 目前使用wordpress博客程序来建站的是非常多的了,受到的各种攻击,各种安全问题也很泛滥,有了一下一些技巧和方法,相信你的WP一定会很安全的。 技巧版:1、升级WordPress到最新版本 一般来说,新版本的WordPress安全性都会比老版本要好一些,并且解决了已知的各种安全性问题,特别当遇到重大的版本升级时,新版本可能会解决更多的关键性问题。(例如老版本WordPress有remv.php重大漏洞,可能会导致遭受DDoS攻击,升级到最新2.7版本可解决这个问题) 2、隐藏WordPress版本 编辑你的header.php模板,将里面关于WordPress的版本信息都删除,这样黑客就无法通过查看源代码的防治得知你的WordPress有没有升级到最新版本。 3、更改WordPress用户名 每个黑客都知道WordPress的管理员用户是admin,具有管理员权限,会攻击这个用户,那么你需要创建一个新用户,将其设置为管理员权限,然后删除老的admin账号,这就能避免黑客猜测管理员的用户名。 4、更改WordPress用户密码 安装好WordPress后,系统会发送一个随机密码到你的信箱,修改这个密码,因为这个密码的长度只有6个字符,你要将密码修改为10个字符以上的复杂密码,并尽量使用字母、数字、符号相混合的密码。 5、防止WordPress目录显示 WordPress会默认安装插件到/wp-content/plugins/目录下,通常情况下直接浏览这个目录会列出所有安装的插件名,这很糟糕,因为黑客可以利用已知插件的漏洞进行攻击,因此可以创建一个空的index.html文件放到这个目录下,当然,修改Apache的.htaccess文件也可以起到相同的作用。 6、保护wp-admin文件夹 你可以通过限定IP地址访问WordPress管理员文件夹来进行保护,所有其他IP地址访问都返回禁止访问的信息,不过你也只能从一两个地方进行博客管理。另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。 7、针对搜索引擎的保护 很多WordPress系统文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-* 8、WordPress数据库安全 数据表最好不要使用默认的wp_开头,安装数据库备份插件,无论做了多少保护,你还是应该定期备份你的数据库,使用WordPress Database Backup等插件可以实现数据库的定期备份。 插件版:1. Admin SSL Admin SSL通过使用私有的或者共享的SSL,可以确保你安全登陆页面,管理区域,帖子,页面等等,插件会强制通过SSL来输入所有页面上的密码,支持私有的SSL和共享的SSL。 这个插件可以用于博客的身份验证。 3.TAC (Theme Authenticity Checker) TAC能够搜索出恶意代码对应主题的源文件。一旦找到了这样的代码,TAC会显示出主题文件对应的路径,行号,以及一小段可疑代码。 HTTP Authentication插件允许你使用现有的手段来认证WordPress的用户。包括Apache最基本的认证模块和其它模块。 该插件扫描WordPress安装来查找是否存在安全漏洞,并提出正确的解决方案。 AntiVirus for WordPress 智能高效,可以用来保护你的博客免受攻击和垃圾邮件的干扰。 这个插件可以用来创建自定义的URLs,用于登录,退出,管理和注册你的Wordpress 8. Antispam Bee 这个插件可以通过替换评论字段来防止博客遭受垃圾邮件的攻击。简单实用,效率高。 可以把CAPTCHA反垃圾的方法应用到WordPress平台上的评论表,注册表,登录表,或者其它的表单。为了发表评论或者登录,用户必须输入验证码。这个插件与Akismet,WPMU以及BuddyPress兼容。 |
|
|
